Zum Inhalt springen Zur Navigation springen
Meldepflicht in Österreich – Was ist zu beachten?

Meldepflicht in Österreich – Was ist zu beachten?

Aller Harmonisierung in Europa zum Trotz gibt es zwischen den Mitgliedstaaten teilweise große Unterschiede im Datenschutz. In Österreich unterliegen bestimmte Datenanwendungen der Meldepflicht. Hinzu kommt, dass einige der meldepflichtigen Datenanwendungen in Österreich der Vorabkontrolle unterliegen.

Meldepflichtige Datenanwendungen in Österreich

In Österreich gilt für Datenanwendungen der Grundsatz der Meldepflicht. Dabei handelt es sich bereits aus praktischen Gründen freilich um einen Grundsatz mit zahlreichen (in § 17 Abs. 2 und 3 DSG 2000) geregelten Ausnahmen.

Die praktisch wichtigste Ausnahme von der Meldepflicht sind die Datenanwendungen, die unter die der Standard- und Musterverordnung festgelegten Standardanwendungen fallen. Beispielhaft zählen hierzu:

  • Rechnungswesen und Logistik,
  • Personalverwaltung,
  • Kundenbetreuung und
  • Marketing für eigene Zwecke.

Für den Fall dass die sorgfältige Prüfung ergibt, dass keine Ausnahme greift, muss die Datenanwendung bei der Datenschutzbehörde in Österreich gemeldet werden.

Meldepflicht

Mit der Aufnahme einer Datenanwendung darf in erst nach dessen ordnungsgemäßer Registrierung begonnen werden. Demzufolge muss die Datenanwendung bei der österreichischen Datenschutzbehörde zur Eintragung in das Datenverarbeitungsregister gemeldet werden.

Anforderungen an das Melde- bzw. Registrierungsverfahren

Die an das Melde- bzw. Registrierungsverfahren zu stellenden Anforderungen ergeben sich im Wesentlichen aus §§ 16 ff. des Datenschutzgesetzes (DSG) 2000:

https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597

sowie aus der Datenverarbeitungsregisterverordnung (DVRV) 2012.

https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20007925

Die Meldung erfolgt elektronisch auf dem Portal „DVR-Online“ der österreichischen Datenschutzbehörde, das unter

https://www.dsb.gv.at/site/7749/default.aspx

auch die für die Meldung notwendigen Informationen bereithält.

Wichtige Punkte beim Verfahren der Registrierung in Österreich

In Bezug das Verfahren der Registrierung in Österreich sind insbesondere folgende, nicht abschließende Punkte zu beachten:

  • Dem Unternehmen („Auftraggeber“) wird bei der erstmaligen Anmeldung einer Datenanwendung von der Aufsichtsbehörde eine DVR-Nummer zugeteilt.
  • Bevor das Unternehmen in den Eingabemasken von DVR-Online Angaben zu der meldepflichtigen Datenanwendung vornehmen kann, muss es sich bei der Anmeldung identifizieren und authentifizieren.
  • Um zu vermeiden dass die Aufsichtsbehörde die Registrierung der Datenanwendung ablehnt oder nur unter Auflagen erlaubt, sollte die Angabe des meldepflichtigen Inhalts mit hoher Sorgfalt vorgenommen werden.
  • Die meldepflichtigen Inhalte in Bezug auf das DVR-Online-Formular ergeben sich aus der Anlage 2 zu § 9 DVRV.

Über die davor genannten Inhalte hinaus sind die „Allgemeine Angaben zu ergriffenen Datensicherheitsmaßnahmen“ (Anlage 4 zur DVRV) meldepflichtig.

Eintragung in das Register

Eine Eintragung in das Register erfolgt, wenn die Datenschutzbehörde zwei Monate nach Meldung untätig geblieben ist. Erst dann kann die Datenanwendung aufgenommen werden.

Vorabkontrolle in Österreich

Beachte! Mit der Aufnahme der Datenanwendung darf unmittelbar nach ordnungsgemäßer Meldung nur begonnen werden, wenn die Datenanwendung nicht der Vorabkontrolle durch die Datenschutzbehörde unterliegt. Die spezifischen Voraussetzungen der Vorabkontrolle ergeben sich aus § 18 Abs. 2 DSG 2000.

Fragen zum österreichischen Datenschutz?

Der österreichische Datenschutz ist komplex und kann im Einzelfall Fragen aufwerfen, die Sie mit Ihrem Datenschutzbeauftragten klären sollten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Die Datenschutzkommission (DSK) gibt es seit 1. Jänner 2014 nicht mehr. Zuständig ist nunmehr die Datenschutzbehörde (DSB).

  • Gibt es zu diesem Artikel nach der Einführung der EU DSGVO eine Aktualisierung zum Datenschutzrecht in Österreich? Wie sieht die Lage nun in Österreich aus? Überblick? Meldung der Verfahren sind m.E. nicht mehr notwendig? Meldung des DSB bei der Behörde erforderlich?

    • Zu Ihren Fragen möchten wir das Folgende sagen: Eine Meldung des DSB bei der Behörde ist nach § 57 Abs. 4 DSG erforderlich. Eine Meldung der Verfahrensbeschreibungen bei der österreichischen Aufsichtsbehörde sieht das österreichische Datenschutzrecht nach unserem Kenntnisstand nicht vor. Eine konkrete Rechtsberatung ist uns im Rahmen dieses Blogs nicht möglich. Weitergehende Informationen zum Datenschutzrecht in Österreich finden Sie beispielsweise im Rechtsinformationssystem des österreichischen Bundes.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.